agsandrew - Fotolia
Comment s’intègre le renseignement dans une stratégie de sécurité
Les services de renseignement sur les menaces peuvent faire partie de l’arsenal de sécurité, mais les défenses de base, comme l’usage de mots de passe robustes, n’en restent pas moins indispensables.
Les services de renseignement sur les menaces peuvent constituer un outil de sécurité puissant. Mais ce n’est pas le premier à considérer au moment de définir sa stratégie de sécurité.
En sept d’activité comme spécialiste du test d’intrusion et consultant en sécurité, j’ai vu des milliers de configurations de systèmes différentes, et une myriade de préoccupations de sécurité, dans de grandes multinationales comme des PME. L’un des points communs de toutes les entreprises, dans le monde entier, c’est qu’elles concentrent leurs efforts au mauvais endroit, sans réaliser que les menaces proviennent pour l’essentiel de problèmes de sécurité simples.
C’est un problème global : la très grande majorité des organisations sont coupables d’ignorer les questions simples. Je ne compte plus, par exemple, les grands comptes qui m’ont demandé d’examiner la sécurité des systèmes durcis développés pour un projet spécifique, mais dont toutes les équipes utilisaient Windows XP et Internet Explorer 6.
Là où réside le danger
Si l’on demande quel devrait être la principale préoccupation de sécurité pour n’importe quelle entreprise, je réponds sans hésiter : les attaques par hameçonnage. J’ai organisé beaucoup de simulations de phishing, en particulier pour tenter de leurrer les utilisateurs pour les amener à divulguer leurs nom d’utilisateur et mot de passe Windows. Et je n’ai jamais rencontré une entreprise où moins de 50 % des employés se font piéger. Le hameçonnage est la première menace. Il est facile de se concentrer sur la dernière campagne APT, le plus récent cheval de Troie d’accès distant, ou encore la dernière vulnérabilité inédite, et d’oublier que presque toutes les brèches qui utilisent ces outils commencent par une attaque par hameçonnage. En se concentrant sur la sensibilisation des personnels, ces attaques peuvent être bloquées avant même leur entrée sur le réseau.
Le pare-feu humain est l’actif de sécurité le plus important que puisse avoir une entreprise. Investir lourdement dans des systèmes de sécurité tels que des SIEM, des pare-feu de nouvelle génération et la protection du poste de travail peut aider considérablement. Mais aucun de ces investissements ne sera plus rentable que la formation des utilisateurs.
Les mots de passe sont une base essentielle
Il est temps de se concentrer sur la base, sur les mots de passe. Combien personnes comprennent vraiment commun choisir un mot de passe robuste ? Et combien d’éditeurs de sites Web savent commun les stocker de manière sûre ? Il y a de nouveaux mécanismes d’authentification en développement, mais pour l’heure, nous sommes encore dépendants du nom d’utilisateur et du mot de passe. Las, selon mon expérience, 99 % des gens pensent que A%af5!£ est un mot de passe plus sûr que j’aime ma chaise. Ils se trompent. Ce n’est pas leur faute : on ne leur a jamais montré comment un pirate casse un mot de passe.
La robustesse d’un mot de passe est bien plus liée à sa longueur qu’à sa complexité. Et, au-delà d’un certain niveau, les mots de passe deviennent impossibles à casser, à compter qu’ils stockés de manière sûr. Mais les mots de passe faible ou par défaut sont souvent le point de départ d’une brèche. Ce fait a régulièrement l’occasion d’être souligné.
La place du renseignement sur les menaces
Mais alors, au-delà des mots de passe, comment peut-on au mieux améliorer la posture de sécurité de son entreprise ? Tout d’abord en analysant les menaces auxquelles elle est confrontée, et en cherchant à savoir à quel point les méthodes des attaquants sont sophistiquées. C’est là que les services de renseignement sur les menaces peuvent être utiles, mais uniquement si la maturité de l’organisation en termes de sécurité est déjà élevée. Souscrire à des services de renseignement sans l’infrastructure de sécurité pour les utiliser, ni les équipes pour les comprendre ne sert à rien ; c’est comme acheter des données sans savoir les interpréter ni les utiliser.
Avant d’investir dans des renseignements sur les menaces, il est nécessaire de disposer d’équipes hautement formées et disposant des connaissances techniques nécessaires à la compréhension de l’impact concret des menaces. L’un des principaux problèmes avec les équipes de sécurité des grandes organisations, selon mon expérience, est qu’il leur manque la compréhension des méthodes réelles des attaquants, et qu’elles sont empêtrées dans les règles et politiques internes. Et pourtant, cette compréhension est très importante pour interpréter avec succès les renseignements sur les menaces.
Toutefois, avec des équipes compétentes, un système de gestion du renseignement sur les menaces peut s’avérer très puissant pour se préparer aux menaces les plus probables.
Mais encore fois, ce n’est pas une raison pour oublier les bases : mettre ses systèmes à jour, utiliser de longs mots de passe, former ses utilisateurs… Cela suffit pour déjouer la plupart des attaques avant qu’elles ne prennent pied sur le réseau.